РисМодель отдельного домена системы Windows 2000

Домены Windows Server 2003 и Active Directory

Самая последняя, улучшенная и усовершенствованная, версия Active Directory, представленной в Windows 2000, является компонентом всех членов семейства Windows Server 2003 за исключением Web Edition, которая не нуждается в компоненте Active Directory и не реализует его. Служба Active Directory семейства Windows Server 2003 предлагает сетевым администраторам масштабируемость, возможности доступа и функциональность, необходимые для управления инфраструктурой службы каталога вычислительной среды современных предприятий. Наши представления о том, что должна выполнять служба каталога, значительно расширились со времени компьютеров с MS-DOS, связанных сетью под управлением LAN Manager, и Active Directory является идеальным инструментом, удовлетворяющим этим представлениям. Далее в этой главе объясняется, каким образом Active Directory выполняет свою роль в центре среды Windows Server 2003, и какие новые функции появились в этом выпуске.

Открытые стандарты службы Active Directory

Чтобы удовлетворить растущие запросы службы каталога в неизменно плюралистической вычислительной среде современного предприятия, Microsoft должен был включить открытые вычислительные стандарты в свои NOS и в свою реализацию службы каталога. Представляется все более вероятным, что, в конечном счете, серверное пространство средних и больших организаций будет содержать разнообразные системы NOS, выполняющиеся на различных типах серверных аппаратных средств. Серверное пространство может включать серверы Windows и Novell Netware, выполняющиеся на платформах Intel, UNIX-платформы, выполняющиеся на базе аппаратных средств RISC (компьютеры с сокращенным набором команд), и серверы рабочих групп семейства Linux, выполняющиеся на любых платформах, к которым могут приложить руки администраторы. Для реализации этих систем NOS должны взаимодействовать с помощью общего языка или языков. Потребность в общих языках является основой для вычислительной техники открытых стандартов. Вместо напряженных усилий, прилагаемых в рамках старой парадигмы однородной серверной среды, использующей закрытые (лицензированные) реализации службы каталога, вычислительная среда современных предприятий стремится быть объединенной сетевой службой.

НЕ нашли? Не то? Что вы ищете?

В следующих двух разделах рассматривается пара открытых стандартов, на которых основана Active Directory: иерархия пространства имен Х.500 и протокол LDAP.

500

Стандарт пространства имен Х.500 (namespace) определяет то, как объекты сохраняются в Active Directory. Пространство имен Х.500 представляет собой иерархическую структуру имен, которая идентифицирует уникальный путь к контейнеру службы каталога. Он обеспечивает также уникальный идентификатор для каждого объекта в этом контейнере. Используя имя в стандарте Х.500 или идентификатор объекта (OID -Object Identifier), все объекты во всех структурах службы каталога могут быть уникально идентифицированы. Служба каталога Active Directory основана на стандарте Х.500, и Microsoft включил в нее все основные (или оригинальные) заданные стандартом классы.

Этот пространство имен можно представлять или в точечной (dotted), т. е. числовой нотации, или в строковой (string). Например, идентификатор Х.500 OID, равный 2.5.4.10, является эквивалентом атрибута Organization-Name (Название организации) (с отображаемым LDAP-именем - «о»). Числовое представление класса этого объекта уникально

идентифицирует его в пределах иерархии Х.500, и таким образом объект становится уникальным. Объекты Active Directory могут быть также уникально идентифицированы с помощью строковой нотации Х.500, известной также как каталог взаимодействия открытых систем (OSI - Open Systems Interconnection). В строковой нотации пользовательский объект может быть представлен как:

cn=Karen Friske, cn=Users, dc=Contoso, dc=com

Чтобы удовлетворить требованию уникальности в пространстве имен Х.500, в контейнере Users (Пользователи) в домене Contoso.com может быть только одно имя Karen Friske. Однако могут существовать другие учетные записи пользователя Карен Фриск в организации Contoso. 500 включает название контейнера, в котором найдена учетная запись пользователя (типа OU), и дает возможность названию учетной записи пользователя быть уникальной. Строковое представление пространства имен Х.500 определено в документе Request for Comments (RFC) 1779, который доступен на сайте http://www.faqs.org/rfcs/rfcl779.html.

Чтобы посмотреть идентификатор Х.500 OID, можно использовать или оснастку (snap-in) Active Directory Schema (Схема Active Directory), или оснастку ADSI Edit (Редактор ADSI). Чтобы посмотреть идентификатор Х.500 OID для атрибута Organization-Name, откройте контейнер схемы с помощью ADSI Edit и прокрутите вниз до названия атрибута: CN=Organization-Name. На рисунке 1-3 показан идентификатор attributelD (имя Х.500) атрибута http://Organization-Name.

РисСвойства атрибута Organization-Name, отображаемые с помощью ADSI Edit

Гетерогенные сетевые среды

Должным образом спроектированная и сконструированная гетерогенная сетевая среда невидима для конечных пользователей. Другими словами, пользователи не должны замечать, что сетевые услуги, на которые они полагаются в своей работе, выполняются на разнообразных серверных платформах. Они должны иметь возможность использовать общий набор инструментальных средств и приложений для взаимодействий как в частной, так и в общественной сети (интернет). Одним из ключевых моментов в реализации невидимой гетерогенной сетевой среды является выбор центральной службы каталога, которая поддерживает единую регистрацию, например, службы Active Directory Windows Server 2003. В противном случае пользователи должны обеспечивать верительные грамоты учетной записи для каждой операционной системы, к которой они хотят обратиться. Типичными примерами гетерогенной вычислительной среды являются:

    операционные системы для настольных компьютеров семейства Windows, выполняющие разнообразные совместимые приложения, которые все дают одно и то же впечатление и ощущение от своей работы, и поэтому не требуют, или требуют в незначительной степени, переподготовки для своего использования; сетевые операционные системы семейства Windows или Novell, выполняющиеся на серверных аппаратных средствах Intel или в гибридной среде с одним поставщиком NOS для службы каталога и другим - для серверов приложений и членов системы. Для традиционной модели обработки данных типа клиент-сервер, популярной в современных отделах корпоративных информационных технологий (IT), предпочтительны основные системы NOS. Выбирая версию этих операционных систем так, чтобы она удовлетворяла открытым стандартам, можно получить успешную гетерогенную среду обработки данных. Windows 2000 Active Directory, Windows Server 2003 Active Directory, Novell Directory Services в системе Novel Netware 5 и более поздние основаны на архитектуре открытого стандарта для инфраструктур службы каталога; доменная система имен (DNS) под UNIX, протокол DHCP (Dynamic Host Configuration Protocol - протокол динамической конфигурации хоста), брандмауэр/прокси (firewall/proxy) или сервер NAT (Network Address Translation - преобразование сетевых адресов), выполняющийся на серверных аппаратных средствах RISC. Некоторые (или все) виды обеспечения интернет-взаимодействий на предприятии могут поддерживаться UNIX-серверами. Так как службы интернета выполнены в открытом стандарте, то нет никакого основания требовать, чтобы службы, поддерживающие доступ к интернету, имели определенный тип; файлы под Linux или прикладной сервер, выполняющийся на сервере с младшей моделью Intel или RISC. Среда Linux, часто развертываемая в объеме, нужном для разработки или тестирования, предлагает возможный маршрут для обеспечения сетевых услуг, не являющихся критически важными и ответственными. Такая Linux-среда была бы доступна тем, кто использует Windows-приложения через протокол SMB (Server Message Block - блок серверных сообщений). Конечный пользователь не осознавал бы, что эти ресурсы находятся не на Windows-сервере.

Облегченный протокол службы каталогов (LDAP)

Протокол LDAP является как протоколом доступа, так и моделью службы каталога в Active Directory Windows Server 2003. Как информационная модель иерархия имен LDAP подобна иерархии имен каталогов X.500/OSI. Как программный интерфейс приложения (API) LDAP реализован в Active Directory Windows Server 2003 в Wldap32.dll. Active Directory полностью поддерживает доступ к каталогу, используя собственные запросы LDAP или используя интерфейс ADSI СОМ (Component Object Model — модель компонентных объектов). Как протокол доступа LDAP определен в комплекте TCP/IP для доступа к данным, находящимся в LDAP-совместимых каталогах. Как открытый стандарт LDAP облегчает обмен данными между платформами с различными службами каталога, о чем говорится далее в разделе «Ключевые функции и преимущества службы Active Directory» в этой главе.

Представление иерархии имен LDAP для учетной записи пользователя, приведенной в примере ранее, дается как:

LDAP: // cn=Karen Friske, cn=Users, dc=Contoso, dc=com

Используя это соглашения об именах, администраторы могут более точно ссылаться на объекты и обращаться к объектам в пределах службы LDAP-совместимого каталога. LDAP-протокол и модель каталога (но не синтаксис именования) определен документом RFC 1777, который доступен на сайте http://www.faqs.org/rfcs/rfcl777.html.

Для администрирования службы Active Directory, совместимой с LDAP, используйте LDAP-чувствительный инструмент администрирования типа Ldp.exe, который является частью пакета Suptools.msi, расположенного в папке Support\Tools компакт-диска продукта Windows Server 2003. Используя Ldp.exe, вы можете связаться или подключиться к службе Active Directory по ее номеру UDP (User Datagram Protocol — пользовательский протокол данных) порта и показать отображаемое LDАР-имя каждого атрибута, класса и объекта. Чтобы подключиться к Active Directory, используя Ldp.exe, и отобразить атрибуты пользовательских объектов, свяжитесь с Active Directory, используя UDP порта 389, раскройте контейнер или организационную единицу, а затем дваж-

ды щелкните на определенном названии учетной записи пользователя. На рисунке 1-4 показана учетная запись пользователя с именем Karen Friske, которую можно увидеть через инструмент Ldp.exe.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13